プライバシー・プログラムを開始する方法(2024年7-8月号)
ジョン・ブラッシュウッド[*]
1890年、最高裁のルイス・ブランダイス判事は、人々には「一人だけになる権利」があると述べた。要するに、プライバシーは人権である。しかし、法の中でその権利を守るための道のりは長いものであった。
初期のプライバシー法の例としては、患者の医療情報を保護するHIPAAや、学生の教育記録を保護するFERPAなどがある。議員たちがすべての人の個人データを保護するための包括的なプライバシー法の制定を検討し始めたのは、膨大な量のデータをデジタル処理して収集する技術が普及するまではなかった。
包括的なプライバシー保護の必要性にいち早く対応したのがEUで、1995年にEUデータ指令が制定された。この指令は、プライバシーを市民権として尊重し、これらの権利を守るために組織が従うべき枠組みを確立した。しかし、技術が発展するにつれて、この指針は修正を必要とした。2016年、EUは一般データ保護規則(GDPR)を起草し、違反者に対する金銭的罰則を定めた。以来、160カ国以上がGDPRと同様の法律を採択している。
訴訟後、米国の州は包括的なプライバシー法の可決を開始し、カリフォルニア州は2018年にカリフォルニア消費者プライバシー法を施行し、議会はいくつかの追加プライバシー法案を提案した。これらのプライバシー法は、人々の個人データを処理する必要性と悪用から市民権を保護する必要性の間でのバランスをとると同時に、そうしないことによる影響について組織に知らせることを目的としている。
機能的なプライバシー・プログラムを持たない組織に対するリスク
プライバシー権を侵害することなく個人データを保護し、処理しない場合、評判上の損害、金銭的損失、法的な絡み合いなど、さまざまな結果を招く可能性がある。GDPRの要件に従って個人データを保護しなかったとしてEUがメタに対して12億ドル以上の罰金を科した2023年の判例を考えてみよう。罰金はこの種のものとしては最大のものだったが、被害は金銭的被害以上のものだった。罰金に加えて、メタは複雑な訴訟にかなりの時間と費用を費やし、注目を集めた訴訟の結果、顧客と従業員の間で評判を落とした。
これらのリスクは手ごわいものに思えるかもしれないが、リスクを管理し、人々のプライバシー権を保護するために多くのリソースが利用可能である。米国商務省の一部署である国立標準技術研究所(NIST)は、米国を拠点とする企業のための包括的なプライバシー・フレームワークを示している。このフレームワークは法的に義務付けられているものではないが、組織が特定のニーズに合わせてプライバシー・プログラムを調整するのに役立つガイドとして機能する。プライバシー・プログラムを確立または強化したいと考える組織は、以下の手順に従うべきである:
1.プライバシー委員会を設置する
プライバシー委員会の設置は、利害関係者の特定から始まるプログラムをハイレベルな方向に導くのに役立つであろう。組織内の誰がデータのプライバシーを保証する責任があるのかを把握する。通常は、経営者、人事、IT、法務、データ管理の担当者である。次に、組織が誰に対して義務を負っているかを判断する。これには、直接の顧客、従業員、第三者組織、組織が意図的または非意図的にデータを収集している個人が含まれる。組織は、直接の取引関係の有無にかかわらず、すべての人の個人データの管理者であるべきである。最後に、サードパーティ組織があなたの組織に対して負っている義務と、強固なプライバシー・プログラムを実施しているかどうかを判断する。
2.自分の組織の義務を確認する
プライバシー委員会は、まず、プライバシー法の法的状況を明らかにし、どの法律があなたの組織に適用され、どの部署に適用されるかを決定する必要がある。例えば、1964年公民権法により、人事専門家は、雇用決定が、差別的慣行に寄与する可能性のある保護された特徴に関連する機密情報を不適切に開示または処理しないことを確保するために、注意を払わなければならない。
全体状況を把握した後には、組織は自分にどの義務が適用されるかを決定しなければならない。たとえば、膨大な量の個人データを収集・処理する大規模な組織では、使用するデータの種類とそれにアクセスできる人に関する継続的なデータマップを更新し続ける必要があるかもしれない。これらの組織の多くは、さらに一歩踏み込んで、データプライバシーへの影響評価、つまりデータに関わる業務慣行を徹底的に掘り下げる必要がある。このような義務を決めることは、実施段階に向けて準備することに役立つはずである。
3.方針、PET、社員教育を実施する
組織がプライバシー・プログラムを実施する準備が整ったら、NISTプライバシー・フレームワークのような既存のガイダンスを再検討すべきである。これらのガイドラインは、組織がどの政策を実施する必要があるかを決定するのに役立つ。
プライバシー方針のような管理上の安全対策に加えて、プライバシー強化技術(PET)のような技術的な安全対策手段がある。PETは、データプライバシーのニーズに応じて、ネットワークの端から端までの暗号化による安全なデータ転送を確立したり、機能を失うことなくデジタルタスクを実行するために必要なデータを減らすことで、データ最小化手順を支援したりできる。
最後に、ポリシーと手順は、組織がそれに従う場合にのみ有用である。そのため、頻繁な従業員の教育訓練は、組織内のすべての人が個人データの優れた管理者である責任を認識できるようにするための素晴らしい方法である。
データプライバシー法は急速に進化しているが、組織が収集するデータ量とその処理方法はそれよりも急速に進化している。最新のプライバシー要件で武装していないと、組織に悪影響を及ぼす可能性があるため、組織はプライバシー・プログラムを継続的に見直し、改訂し、従業員が最新の訓練を受けていることを確認する必要がある。データプライバシー法は今後も拡大する一方であるため、組織がとることのできる最善の方策は、全世界の状況を理解するための包括的なアプローチをとることである。
トピックス
サイバー、コンプライアンス、全社的リスクマネジメント、規制、レピュテーションリスク、セキュリティ
注意事項:本翻訳は“ How to Kickstart a Privacy Program ”, Risk Management Site ( https://www.rmmagazine.com/articles/article/2024/07/23/how-to-kickstart-a-privacy-program) July 2024,をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
ジョン・ブラッシュウッドはオンライン・コンプライアンス研修会社トラリアントのコンプライアンス担当弁護士。